Re: Generating fake ICMP ECHO_RESPONSE
こんにちは。近藤です。早速のフォローありがとうございます。
kaz@kobe1995.net (NAKAMURA Kazushi) writes:
> バックボーンのfirewallのルールに、収集PCからのpingは通す、
> ようにしてもらうのが一番かと。
これができれば簡単なのですが、ICMPを通す/通さないの設定がホ
スト単位・サブネット単位ではなく、いくつかのサブネットをまと
めた単位でないと難しいそうです。(TCPのポートはホスト単位でき
め細かく制御できるとのこと)
#ネットワークのことが全然分からない私が電話で教えて貰ったこ
#とを解釈したことですので、実際と違っていたら失礼します。
自分たちの都合で、学内他組織に迷惑をかけるのは極力避けたく思
いまして。
> さもないと、そもそもそのPCがpingを撃つのは収集したい相手の
> コピー機がaliveかどうか確かめてからデータを収集しに行きたい
> からではないでしょうか。downしている相手から、来るはずもない
> 応答を待ってダンマリになるのを避けたいからではないでしょうか。
正におっしゃる通りです。が、現実的には、相手先のコピー機がネッ
トワーク的にaliveなのは100%確実と見て良いので、コピー機内の
データを何とか取ってくることはできないかと思いニュースでお尋
ねした次第です。
で、すごく泥臭い方法ですが、自力で何とか解決できました。
(ipfwやルータ機能は結局使わなくても済みました)
・FreeBSDマシンに、sing(portsのnetworkのセクションにあります)
をインストール。
・パソコン上で「コピー機からデータを取ってくる」ソフトを起動。
・パケットキャプチャで、ソフトが送っているICMP ECHO_REQUEST
のICMP IDをチェック。
・ソフトはICMP ECHO_RESPONSEが返ってこない場合、暫く待って再
送を繰り返す。待っている間にFreeBSDマシンで
sing -reply -S コピー機のIPアドレス -id ICMPID パソコンのホスト名
と実行してやると、ソフトは見事にだまされて、先のステップへ
進んでくれる。
> それにしても迷惑なworm & それに感染する奴ですね。とばっちりが
> Windows cleanにしている部屋にまで来る。
まったくです。
(が、オリジナルのBlastに職場のパソコンが1台やられた前科があ
> るので偉そうなことは言えない....)
では、失礼します。
--
近藤努@筑波大学図書館 kondou@tulips.tsukuba.ac.jp fax:029-853-6311
Fnews-brouse 1.9(20180406) -- by Mizuno, MWE <mwe@ccsf.jp>
GnuPG Key ID = ECC8A735
GnuPG Key fingerprint = 9BE6 B9E9 55A5 A499 CD51 946E 9BDC 7870 ECC8 A735